朝刊
注目トピック 12
Flowise AI Agent Builder に CVSS 10.0 の RCE 脆弱性、12,000 超インスタンスが露出 セキュリティ / CVE
ノーコード AI エージェント構築ツール Flowise に CVSS 10.0 の深刻な RCE 脆弱性が発見され、インターネット上に露出した 12,000 件以上のインスタンスが既に実際の攻撃対象となっている。認証なしでリモートコード実行が可能な脆弱性で、攻撃者は侵害したインスタンスを踏み台に社内の LLM ワークフロー全体を掌握できる。AI エージェント基盤ツールへの攻撃は従来のサーバー攻撃より検知されにくく、ログ・監査体制が追いついていないケースが多い。Flowise を自ホストしている場合は即時パッチ適用または一時的なインターネット公開停止を推奨。
APT28 が SOHO ルーターを悪用した DNS ハイジャックキャンペーンを展開 セキュリティ / CVE
ロシア国家に紐付く APT28 (Fancy Bear) が、パッチ未適用の SOHO ルーターを中継拠点として使う DNS ハイジャックキャンペーンを世界規模で展開していることが確認された。VPN や Tor のような高度なインフラを使わず、一般家庭・中小企業のルーターを乗っ取ることで追跡を困難にする手口で、IC3 が同日に PSA を発行した。標的は政府・軍・防衛関連組織だが、境界ルーターが侵害されると内部通信の傍受や認証情報窃取につながる。SOHO ルーターのファームウェア更新とデフォルト認証情報の変更を即時実施すること。
Adobe Reader の zero-day が 2025年12月から PDF 添付ファイル経由で悪用継続 セキュリティ / CVE
Adobe Reader の未公開ゼロデイ脆弱性が 2025 年 12月から悪意ある PDF 添付ファイルを通じて悪用され続けていたことが明らかになった。4ヶ月以上にわたってパッチが提供されないまま攻撃が継続していた点が特に深刻で、企業の添付ファイルセキュリティポリシーの有効性を問い直す事案。標的型攻撃に使われたとみられており、特定の業界や組織が集中的に狙われた可能性がある。Adobe Reader を使用している環境では最新版への更新と、信頼できないソースからの PDF を仮想環境で開く運用の検討を推奨。
Go の Generic Methods 提案が採択、言語仕様への追加が正式決定 Go
Go の型パラメータをメソッドにも使えるようにする「Generic Methods」提案が公式に採択された。現行の Go ジェネリクスはメソッドレシーバーに型パラメータを付けられるが、メソッド自体に独立した型パラメータを持たせることはできなかった。今回の採択でこの制約が解消され、より表現力の高いジェネリックなライブラリ設計が可能になる。Go は後方互換性を最優先する言語であり、メジャー構文変更が採択されるのは稀で、r/golang で 200 以上の upvote を集める話題となった。smart-stay-platform などのGoコードへの影響は将来の Go バージョンに含まれる段階で別途確認する。
北朝鮮ハッカーが npm / PyPI / Go / Rust に 1,700 個の悪性パッケージを拡散 npm サプライチェーン
北朝鮮系ハッカーグループが npm・PyPI・Go モジュール・Rust crates の4エコシステムに同時展開して 1,700 個以上の悪性パッケージを仕込んでいたことが判明した。正規パッケージを模したタイポスクワッティングと依存関係を巧みに使い、インストール直後にバックドアを仕込む手口。ここまで多エコシステムに同時展開した組織的なサプライチェーン攻撃は前例が少なく、北朝鮮の IT 工作の規模と執拗さを示している。全プロジェクトの依存関係ロックファイルの検証・Socket.dev や OpenSSF Scorecard による定期スキャンの導入を急ぐべき。
Anthropic Project Glasswing: Claude Mythos が重要ソフトウェアの脆弱性を数千件自動発見 AI / LLM
Anthropic が 4/7 に発表した Project Glasswing は、最新フロンティアモデル Claude Mythos Preview を使って世界的に重要なオープンソースソフトウェアの脆弱性を大規模に発見・修正支援する取り組み。Mythos は OpenBSD・Linux カーネル・主要ウェブフレームワークを含む多数のプロジェクトで数千件のゼロデイを含む脆弱性を自動特定した。サイバーセキュリティへの悪用リスクから一般公開は行わず、AWS・Apple・Google・Microsoft・NVIDIA・Linux Foundation などの防衛的セキュリティ研究者のみに提供される限定的な体制をとっている。AI がセキュリティ研究の質・量を人間の限界を超えて引き上げる時代が本格的に始まったことを示す歴史的発表。
Docker CVE-2026-34040: 認証バイパスでホストアクセスが可能に セキュリティ / CVE
Docker Engine の認証プラグイン実装に欠陥が見つかり、CVE-2026-34040 として公開された。細工したリクエストを送ることで認証チェックを迂回し、最終的にコンテナホストへの特権アクセスが得られる。コンテナ隔離の根幹を揺るがす脆弱性で、Docker を使った CI/CD パイプラインや本番環境が広く影響を受ける可能性がある。Docker Desktop・Docker Engine の最新版へのアップデートと、認証プラグインの設定確認が必要。smart-stay-platform など Docker Compose を使っている環境は特に優先して確認すること。
EngageLab SDK の欠陥で 5,000 万台の Android 端末が露出、仮想通貨ウォレット 3,000 万件含む セキュリティ / CVE
Android 向けプッシュ通知 SDK EngageLab に脆弱性が発見され、このSDKを組み込んだアプリを通じて 5,000 万台以上の端末が影響を受けることが明らかになった。特に仮想通貨ウォレットアプリ経由の 3,000 万件が含まれており、金融的な被害リスクが高い。SDK レベルの脆弱性はアプリ開発者自身のコードに問題がなくても全ユーザーに影響するため、SDK 選定・依存関係のセキュリティ審査が重要であることを改めて示している。EngageLab SDK を組み込んだアプリを開発・配布している場合は即時の SDK 更新とユーザー向け告知を検討すること。
CGO_ENABLED=0 のまま Rust ライブラリを Go から呼び出す方法 Go
CGO を有効にせずに Rust で書かれたライブラリを Go から呼び出す手法を詳細に解説した技術記事。通常 CGO を介した Rust 統合はビルドの複雑性や静的リンクの問題を引き起こすが、共有ライブラリ + FFI のアプローチで CGO_ENABLED=0 環境でも機能させる設計が紹介されている。r/golang で 150 以上の upvote を集め、Rust と Go の組み合わせへの開発者の関心の高さがうかがえる。ONNX などのML推論ライブラリを Go サービスに組み込む際に直接応用できるアプローチで、smart-stay-platform に高性能な推論機能を追加する場合の参考になる。
CI/CD サプライチェーン攻撃をカナリアクレデンシャルで検出する npm サプライチェーン
CI/CD パイプラインへのサプライチェーン攻撃を検出するためにカナリアクレデンシャル (本物に見えるが実際には使われないおとりのシークレット) を仕込む手法を解説した記事が r/netsec で話題になった。悪意ある依存関係が CI 環境のシークレットを読み取って外部送信しようとした瞬間に、カナリアの利用が検知されアラートが飛ぶ仕組み。実装コストが低く、既存の CI 環境にほぼ無変更で追加できる点が評価されている。smart-stay-platform や line_bot の GitHub Actions にカナリアトークンを仕込むことで、依存関係からのシークレット漏洩を早期検知する体制を構築できる。
AWS DevOps Agent が Azure・オンプレミスのインシデント対応もサポート、正式 GA インフラ
AWS が提供する AI ベースのインシデント対応エージェント AWS DevOps Agent が、Azure やオンプレミス環境のインシデント対応も行えるようになり、正式 GA となった。マルチクラウド・ハイブリッド構成を持つ組織では、単一の AI エージェントで横断的な障害対応が可能になる点が大きなメリット。AWS 依存の機能だが、クラウド運用の自動化が AI エージェントによって加速する流れを示しており、GCP でも同様の動きが進んでいる。インシデント対応フローを標準化・自動化したい場合の参考事例として注目。
Meta Muse Spark: Meta Superintelligence Labs 初のマルチモーダル推論モデル AI / LLM
Meta が新設した Meta Superintelligence Labs (MSL) による最初のモデル Muse Spark が 4/8 に公開された。テキスト・画像・実世界情報を統合するネイティブマルチモーダルモデルで、複数の AI エージェントが並列で思考を進める「熟考モード」が特徴的な設計。meta.ai と Meta AI アプリで米国から順次提供開始され、Instagram・Facebook・WhatsApp などの Meta サービスにも展開される。Simon Willison は特に meta.ai の新しいツール群 (Web 検索・コード実行環境) を実際に試し、実用的な AI アシスタントとして機能していると評価している。
セキュリティ / CVE 5
Flowise AI Agent Builder に CVSS 10.0 の RCE 脆弱性、12,000 超インスタンスが露出
ノーコード AI エージェント構築ツール Flowise に CVSS 10.0 の深刻な RCE 脆弱性が発見され、インターネット上に露出した 12,000 件以上のインスタンスが既に実際の攻撃対象となっている。認証なしでリモートコード実行が可能な脆弱性で、攻撃者は侵害したインスタンスを踏み台に社内の LLM ワークフロー全体を掌握できる。AI エージェント基盤ツールへの攻撃は従来のサーバー攻撃より検知されにくく、ログ・監査体制が追いついていないケースが多い。Flowise を自ホストしている場合は即時パッチ適用または一時的なインターネット公開停止を推奨。
APT28 が SOHO ルーターを悪用した DNS ハイジャックキャンペーンを展開
ロシア国家に紐付く APT28 (Fancy Bear) が、パッチ未適用の SOHO ルーターを中継拠点として使う DNS ハイジャックキャンペーンを世界規模で展開していることが確認された。VPN や Tor のような高度なインフラを使わず、一般家庭・中小企業のルーターを乗っ取ることで追跡を困難にする手口で、IC3 が同日に PSA を発行した。標的は政府・軍・防衛関連組織だが、境界ルーターが侵害されると内部通信の傍受や認証情報窃取につながる。SOHO ルーターのファームウェア更新とデフォルト認証情報の変更を即時実施すること。
Adobe Reader の zero-day が 2025年12月から PDF 添付ファイル経由で悪用継続
Adobe Reader の未公開ゼロデイ脆弱性が 2025 年 12月から悪意ある PDF 添付ファイルを通じて悪用され続けていたことが明らかになった。4ヶ月以上にわたってパッチが提供されないまま攻撃が継続していた点が特に深刻で、企業の添付ファイルセキュリティポリシーの有効性を問い直す事案。標的型攻撃に使われたとみられており、特定の業界や組織が集中的に狙われた可能性がある。Adobe Reader を使用している環境では最新版への更新と、信頼できないソースからの PDF を仮想環境で開く運用の検討を推奨。
Docker CVE-2026-34040: 認証バイパスでホストアクセスが可能に
Docker Engine の認証プラグイン実装に欠陥が見つかり、CVE-2026-34040 として公開された。細工したリクエストを送ることで認証チェックを迂回し、最終的にコンテナホストへの特権アクセスが得られる。コンテナ隔離の根幹を揺るがす脆弱性で、Docker を使った CI/CD パイプラインや本番環境が広く影響を受ける可能性がある。Docker Desktop・Docker Engine の最新版へのアップデートと、認証プラグインの設定確認が必要。smart-stay-platform など Docker Compose を使っている環境は特に優先して確認すること。
EngageLab SDK の欠陥で 5,000 万台の Android 端末が露出、仮想通貨ウォレット 3,000 万件含む
Android 向けプッシュ通知 SDK EngageLab に脆弱性が発見され、このSDKを組み込んだアプリを通じて 5,000 万台以上の端末が影響を受けることが明らかになった。特に仮想通貨ウォレットアプリ経由の 3,000 万件が含まれており、金融的な被害リスクが高い。SDK レベルの脆弱性はアプリ開発者自身のコードに問題がなくても全ユーザーに影響するため、SDK 選定・依存関係のセキュリティ審査が重要であることを改めて示している。EngageLab SDK を組み込んだアプリを開発・配布している場合は即時の SDK 更新とユーザー向け告知を検討すること。
Go 5
Go の Generic Methods 提案が採択、言語仕様への追加が正式決定
Go の型パラメータをメソッドにも使えるようにする「Generic Methods」提案が公式に採択された。現行の Go ジェネリクスはメソッドレシーバーに型パラメータを付けられるが、メソッド自体に独立した型パラメータを持たせることはできなかった。今回の採択でこの制約が解消され、より表現力の高いジェネリックなライブラリ設計が可能になる。Go は後方互換性を最優先する言語であり、メジャー構文変更が採択されるのは稀で、r/golang で 200 以上の upvote を集める話題となった。smart-stay-platform などのGoコードへの影響は将来の Go バージョンに含まれる段階で別途確認する。
CGO_ENABLED=0 のまま Rust ライブラリを Go から呼び出す方法
CGO を有効にせずに Rust で書かれたライブラリを Go から呼び出す手法を詳細に解説した技術記事。通常 CGO を介した Rust 統合はビルドの複雑性や静的リンクの問題を引き起こすが、共有ライブラリ + FFI のアプローチで CGO_ENABLED=0 環境でも機能させる設計が紹介されている。r/golang で 150 以上の upvote を集め、Rust と Go の組み合わせへの開発者の関心の高さがうかがえる。ONNX などのML推論ライブラリを Go サービスに組み込む際に直接応用できるアプローチで、smart-stay-platform に高性能な推論機能を追加する場合の参考になる。
Go にコンパイルできるプログラミング言語一覧 (curated)
Go のコードに変換・コンパイルできるプログラミング言語を体系的にまとめた GitHub リポジトリが r/golang で話題になった。Go エコシステムへの関心が高まる中、独自の DSL・テンプレート言語・型安全なラッパー言語など多様なアプローチが一覧化されている。Go の高速コンパイルと優れた標準ライブラリを活かしながら、独自の言語機能を実現する手段として注目されている。言語設計やコンパイラ開発に興味がある場合の参考情報として、また社内 DSL 検討時の事例集としても有用。
【基礎】A Tour of Go: メソッドとインターフェース
Go 公式インタラクティブチュートリアル「A Tour of Go」のメソッドとインターフェースセクション。Go にはクラスがないが、構造体にメソッドを定義することでオブジェクト指向的な設計が可能であることを、実際に動かしながら学べる。インターフェースが暗黙的に満たされる (implicit implementation) という Go 独自の設計思想と、`io.Reader` / `io.Writer` などの標準インターフェースの使い方まで一本で習得できる。他言語からの移行者が最初に理解すべき Go の多態性の仕組みで、smart-stay-platform の gRPC サービス設計にも直結する内容。
【基礎】Go by Example: Select — 複数チャネルの同時待機
Go の `select` 文を実行可能コード付きで解説する定番サイト。複数のチャネルを同時に待機し、最初に準備ができたものを処理するという Go 並行処理の基本パターンが、シンプルな例で直感的に理解できる。タイムアウト処理 (time.After との組み合わせ)・デフォルトケース・ランダムな選択動作など、実務でよく使うパターンも一通り網羅されている。チャネルと goroutine を使ったパイプライン設計の必須知識で、前のページ「Channels」の続きとして読むことを推奨。
JS / TS 2
styled-components 6.4 リリース: パフォーマンス改善とビルド最適化
React の CSS-in-JS ライブラリとして広く使われる styled-components の 6.4 がリリースされた。ビルド時のスタイル生成最適化とランタイムパフォーマンスの改善が主な変更で、バンドルサイズの削減も含まれる。styled-components は v6 以降 React Server Components への対応を進めており、Next.js App Router との組み合わせでの使い勝手が向上している。フロントエンドプロジェクトで styled-components を使っている場合は changelog を確認して依存関係の更新を検討すること。
JavaScript の Intl API — 使われていない最強のブラウザ API
ブラウザ標準の `Intl` API の全機能を実例付きで解説した記事が r/javascript で 40 upvotes を集めた。日時フォーマット (Intl.DateTimeFormat)・通貨表示 (Intl.NumberFormat)・複数形対応 (Intl.PluralRules)・リスト結合 (Intl.ListFormat) など、外部ライブラリなしに多言語対応が完結できる機能群が丁寧に紹介されている。moment.js や day.js に頼っている国際化処理を標準 API に置き換えることでバンドルサイズを削減できる。line_bot など日本語対応が必要なプロジェクトでの日時フォーマットに即座に応用できる内容。
npm サプライチェーン 2
北朝鮮ハッカーが npm / PyPI / Go / Rust に 1,700 個の悪性パッケージを拡散
北朝鮮系ハッカーグループが npm・PyPI・Go モジュール・Rust crates の4エコシステムに同時展開して 1,700 個以上の悪性パッケージを仕込んでいたことが判明した。正規パッケージを模したタイポスクワッティングと依存関係を巧みに使い、インストール直後にバックドアを仕込む手口。ここまで多エコシステムに同時展開した組織的なサプライチェーン攻撃は前例が少なく、北朝鮮の IT 工作の規模と執拗さを示している。全プロジェクトの依存関係ロックファイルの検証・Socket.dev や OpenSSF Scorecard による定期スキャンの導入を急ぐべき。
CI/CD サプライチェーン攻撃をカナリアクレデンシャルで検出する
CI/CD パイプラインへのサプライチェーン攻撃を検出するためにカナリアクレデンシャル (本物に見えるが実際には使われないおとりのシークレット) を仕込む手法を解説した記事が r/netsec で話題になった。悪意ある依存関係が CI 環境のシークレットを読み取って外部送信しようとした瞬間に、カナリアの利用が検知されアラートが飛ぶ仕組み。実装コストが低く、既存の CI 環境にほぼ無変更で追加できる点が評価されている。smart-stay-platform や line_bot の GitHub Actions にカナリアトークンを仕込むことで、依存関係からのシークレット漏洩を早期検知する体制を構築できる。
インフラ 3
AWS DevOps Agent が Azure・オンプレミスのインシデント対応もサポート、正式 GA
AWS が提供する AI ベースのインシデント対応エージェント AWS DevOps Agent が、Azure やオンプレミス環境のインシデント対応も行えるようになり、正式 GA となった。マルチクラウド・ハイブリッド構成を持つ組織では、単一の AI エージェントで横断的な障害対応が可能になる点が大きなメリット。AWS 依存の機能だが、クラウド運用の自動化が AI エージェントによって加速する流れを示しており、GCP でも同様の動きが進んでいる。インシデント対応フローを標準化・自動化したい場合の参考事例として注目。
Cloudflare が BPF でパケット処理を書き直した方法 — ネットワーキング技術解説
Cloudflare がネットワークパケット処理パイプラインを eBPF を使って書き直した経緯と技術詳細を解説した記事。カーネル空間のパケット処理を BPF プログラムで記述することで、従来の iptables / nftables に比べ大幅な柔軟性と性能向上を達成した。XDP (eXpress Data Path) との組み合わせで DDoS 軽減処理もより効率的に動作する。ネットワーク監視・ファイアウォール・ロードバランサーに eBPF が普及する時代の背景理解に最適な一次資料で、コンテナネットワーキング (Cilium など) との関係も理解が深まる。
【基礎】Google BigQuery: サーバーレス データウェアハウスの基本概念
GCP の主要データ分析サービス BigQuery の公式入門ドキュメント。サーバーレスでスケールする列志向 DWH の設計思想・ストレージとコンピュートの分離・スロット (計算リソース単位) の概念・テーブル・データセット・プロジェクトの階層構造が体系的に解説されている。SQL でペタバイト規模のデータを数秒でクエリできる仕組みの基本を理解しておくと、GCP 上でのデータ分析パイプライン設計や Pub/Sub との連携設計時に役立つ。smart-stay-platform のログ分析やビジネス指標の可視化に BigQuery を検討する際の出発点。
DB 3
SQLite WAL モードと Docker 共有ボリューム — データ整合性の落とし穴
複数の Docker コンテナが同一ボリュームの SQLite ファイルを共有する際に WAL (Write-Ahead Logging) モードが引き起こす整合性問題を Simon Willison が詳説した記事。WAL モードは通常の SQLite より高いスループットを提供するが、WAL ファイル (`.wal`) と SHM ファイル (`.shm`) が POSIX ファイルロックに依存しているため、Docker ボリューム越しに複数プロセスから参照するとロック競合・データ破損が発生する場合がある。開発環境で SQLite + Docker の組み合わせを使っている場合は設定の確認が必要。本番環境では通常 PostgreSQL などのクライアント・サーバー型 DB を使うべきでこの問題は生じないが、テストコンテナや軽量ツールでは要注意。
pt-online-schema-change で外部キー制約付きテーブルに安全に DDL を実行する
MySQL の無停止 DDL ツール pt-online-schema-change (pt-osc) が外部キー制約を持つテーブルに対して実行する際の挙動と注意点を gihyo.jp が詳解した連載記事。pt-osc はコピー先テーブルを作成して差分を追従する仕組みのため、外部キー参照があると制約違反やデータ不整合が生じやすい。`--alter-foreign-keys-method` オプションの選択肢 (drop_swap / rebuild_constraints) のトレードオフが具体的に説明されている。本番稼働中の MySQL データベースにカラム追加・インデックス変更を行う必要がある場合に直接使えるノウハウ。
【基礎】PostgreSQL EXPLAIN / EXPLAIN ANALYZE で実行計画を読む
PostgreSQL 公式ドキュメントの EXPLAIN セクション。クエリオプティマイザーが選択した実行計画 (Seq Scan / Index Scan / Hash Join / Nested Loop 等) を読む方法と、`EXPLAIN ANALYZE` で実際の実行時間・行数を計測する手順を解説する。コスト推定値・実際の行数・バッファヒット数の読み方が体系的に示されており、遅いクエリの根本原因 (インデックス不使用・統計情報の陳腐化など) を特定するための必須スキル。ORM を使っていても生成される SQL の実行計画を確認する習慣を持つことで、本番で突然遅くなるクエリを事前に防げる。
AI / LLM 4
Anthropic Project Glasswing: Claude Mythos が重要ソフトウェアの脆弱性を数千件自動発見
Anthropic が 4/7 に発表した Project Glasswing は、最新フロンティアモデル Claude Mythos Preview を使って世界的に重要なオープンソースソフトウェアの脆弱性を大規模に発見・修正支援する取り組み。Mythos は OpenBSD・Linux カーネル・主要ウェブフレームワークを含む多数のプロジェクトで数千件のゼロデイを含む脆弱性を自動特定した。サイバーセキュリティへの悪用リスクから一般公開は行わず、AWS・Apple・Google・Microsoft・NVIDIA・Linux Foundation などの防衛的セキュリティ研究者のみに提供される限定的な体制をとっている。AI がセキュリティ研究の質・量を人間の限界を超えて引き上げる時代が本格的に始まったことを示す歴史的発表。
Meta Muse Spark: Meta Superintelligence Labs 初のマルチモーダル推論モデル
Meta が新設した Meta Superintelligence Labs (MSL) による最初のモデル Muse Spark が 4/8 に公開された。テキスト・画像・実世界情報を統合するネイティブマルチモーダルモデルで、複数の AI エージェントが並列で思考を進める「熟考モード」が特徴的な設計。meta.ai と Meta AI アプリで米国から順次提供開始され、Instagram・Facebook・WhatsApp などの Meta サービスにも展開される。Simon Willison は特に meta.ai の新しいツール群 (Web 検索・コード実行環境) を実際に試し、実用的な AI アシスタントとして機能していると評価している。
Google Gemini に「notebooks」機能、NotebookLM との同期も可能に
Google が Gemini アプリに「notebooks」機能を追加し、プロジェクトごとに情報・会話履歴・ドキュメントを整理できるようになった。特筆点は NotebookLM との双方向同期で、Gemini で作成したノートブックを NotebookLM の深い文書解析機能と組み合わせて使えるようになる点。研究・開発・学習など用途別にコンテキストを切り替えて AI を活用できるようになり、長期的なプロジェクト管理での実用性が大きく向上した。ChatGPT の Projects と競合する機能で、Google が Gemini のエコシステム統合を本格的に進める方向性を示している。
GitHub Copilot CLI に「Rubber Duck」モード、別 AI モデルでセカンドオピニオン
GitHub が Copilot CLI に「Rubber Duck」モードを追加した。メインの AI モデルが提案した回答に対して、別の AI モデルがレビュー・反論・補足を行うセカンドオピニオン機能で、単一モデルのハルシネーションや偏りを抑える設計。ゴムのアヒルに話しかけて自己デバッグする開発手法 (Rubber Duck Debugging) から命名されており、AI モデル同士が互いを検証し合う新しいパターンを実装している。CLI ツールの信頼性向上に向けた重要な方向性で、今後 IDE 統合版への展開も期待される。